上篇文章我们讲了Guildma，Javali两大银行木马家族。今天，我们接着介绍Melcoz和Grandoreiro银行木马家族。

Melcoz 银行木马家族

Melcoz是一个银行业木马家族，由一个在巴西活跃多年的组织开发的，至少从2018年开始就将目标放在了海外，最近他们又在东欧伙发起了大量攻击。这些新的攻击行动都经过专业训练，可扩展的和持久的，创建不同版本的恶意软件，通过显著的基础设施改进，使不同国家的网络犯罪集团能够合作。

我们发现，该组织自2018年以来攻击了智利的银行，最近又攻击了墨西哥的银行。不过，受害者很可能来自其他国家，因为一些目标银行有着大量的国际业务。然而，这些天的袭击似乎更多地针对拉丁美洲的受害者。由于这些组织说不同的语言(葡萄牙语和西班牙语)，我们认为巴西的网络犯罪分子正与当地的编码人员和骡子组织合作，提取被盗资金，由不同的运营商管理，出售其基础设施和恶意软件构造器的访问权。每个攻击都有其唯一的ID，该ID在所使用的版本和CnC之间会有所不同。

通常，恶意软件使用添加到MSI文件中的AutoIt或VBS脚本，这些脚本使用DLL劫持(HiJack）技术运行恶意DLL，旨在绕过安全解决方案。该恶意软件从浏览器和内存中窃取密码，从而提供远程访问以捕获在线银行访问。它还包括一个用于窃取比特币钱包的模块。它将原来的钱包信息替换为网络犯罪分子自己的信息。

Melcoz是著名的开源RAT远程访问PC的另一种定制，可在GitHub上获得，以及巴西罪犯开发的许多其他版本。它最初开始瞄准巴西的用户，但至少从2018年开始，该组织就对智利和墨西哥等其他国家表现出了兴趣。此攻击中使用的感染媒介是网络钓鱼电子邮件，其中包含指向可下载的MSI安装程序的链接，如下所示。

用西班牙语编写的网络钓鱼电子邮件

几乎所有被分析的MSI示例都使用了一些高级安装程序版本，其中在CustomAction部分中附加了VBS脚本，这使得脚本在安装过程中运行。该脚本本身作为一个下载器，用于下载将恶意软件加载到系统中所需的其他文件，这些文件以压缩包的形式单独托管。我们确认了用于传播Melcoz后门的两种不同技术：AutoIt加载程序脚本和DLL劫持。

官方的AutoIt3解释器是AutoIt安装软件包的一部分，恶意软件使用它来执行编译的脚本。 VBS脚本运行AutoIt解释器，将编译后的脚本作为参数传递。一旦执行，它将加载该库，该库也作为参数传递来调用硬编码的导出函数。

AutoIt脚本充当恶意DLL的加载程序

在受害者系统中执行第二阶段的另一种方法是DLL劫持。在此活动中，我们看到了合法的VMware NAT服务可执行文件vmnat.exe被滥用来加载恶意有效载荷，尽管该组可以在攻击中使用许多合法的执行文件。

该恶意软件具有特定的功能，可以让攻击者执行与网上银行交易、窃取密码和监控剪贴板相关的操作。我们还发现了不同版本的有效载荷：专注于从巴西受害者那里窃取数据的版本通常是未打包的，而针对智利和墨西哥银行的版本则打包了VMProtect或Themida。对我们来说，这是另一个标志，运营商可以根据当地的需要改变他们的策略。

初始化之后，代码将监控浏览器的活动，以查找在线银行会话。找到这些文件后，恶意软件使攻击者能够在受害者浏览器的前面显示一个覆盖窗口，以在后台操纵用户的会话。这样，欺诈交易是从受害者的设备上进行的，这使得在银行端更难检测到反欺诈解决方案。犯罪分子还可以绕过金融部门采用的两因素身份验证解决方案，请求在银行交易期间询问的特定信息，例如辅助密码和令牌。

该代码还具有一个计时器，用于监控保存到剪贴板的内容。触发匹配后，恶意软件会检查是否有比特币钱包，然后将其替换为网络犯罪分子的钱包。

攻击者依赖于受到破坏的合法服务器以及他们购买的商业服务器。受感染的服务器主要托管用于攻击受害者的样本，而商业托管则用于C2服务器通信。如前所述，不同的运营商运行不同的活动，这解释了到目前为止看到的不同的网络基础结构。

根据我们的监控，在其他拉丁美洲国家和欧洲（主要在西班牙和葡萄牙）都检测到了Melcoz样本。

Melcoz在全球范围内的目标集中在巴西，智利，西班牙和葡萄牙

Grandoreiro

Grandoreiro是一种屏幕覆盖银行木马，旨在帮助攻击者当受害者访问其在线银行账户时显示全屏覆盖图像。与此同时，在后台，攻击者将会发起一个来自受感染账户的欺诈性转账。研究人员怀疑恶意软件利用插件来获取受害者的cookie，并利用它们从另一个设备上窃取受害者的活动会话。通过这种方法，攻击者就不需要继续控制受害者的设备。今年4月Grandoreiro屏幕覆盖恶意软件会利用虚假的Chrome浏览器插件来攻击西班牙银行客户的账户。

与Melcoz和Javali一样，Grandoreiro也开始在拉丁美洲和欧洲开始攻击，并取得了巨大成功，并致力于使用模块化安装程序来逃避检测。在我们描述的四个家族中，Grandoreiro是全球攻击范围最大的家族。该恶意软件使攻击者可以使用受害者的计算机绕过银行机构使用的安全措施，从而执行欺诈性银行交易。

我们至少从2016年就观察到了这一活动，攻击者定期改进他们的技术，旨在保持不受监控和更长的活动时间。该恶意软件使用一种特定的域生成算法(DGA)来隐藏攻击过程中使用的C2地址，这是大规模攻击得以成功的关键。

目前还不可能将该恶意软件与任何特定的网络犯罪集团联系起来，尽管根据分析中收集的信息显示许多运营商参与其中，很明显，该活动使用了MaaS(恶意软件即服务)商业模式。

在追踪针对拉丁美洲的网络犯罪活动时，我们发现了一个有趣的攻击，该攻击与已知的巴西银行恶意软件非常相似，但具有与感染媒介和代码本身有关的独特功能。可以识别出两类攻击，第一个攻击针对巴西银行，第二个攻击针对拉丁美洲和欧洲的其他银行。这是可以预料的：许多欧洲银行在拉丁美洲都有分支机构，因此对于网络犯罪分子而言，这自然是下一步。

这个以巴西为目标的集群攻击使用被黑客攻击的网站和谷歌广告来驱使用户下载恶意安装程序，该攻击以其他国家为目标，使用鱼叉式网络钓鱼作为传播方式。

虚假页面驱使用户下载恶意载荷

在大多数情况下，MSI文件从嵌入式DLL执行一个函数，但也有其他情况下，VBS脚本被用来代替DLL。

MSI包含从DLL执行特定功能的操作

然后，该函数将下载一个加密文件，其中包含攻击活动中使用的最终有效载荷。该文件使用自定义XOR的算法（密钥为0x0AE2）对文件进行加密。在最新版本中，开发者从加密转为使用base64编码的ZIP文件。

主要模块负责监控所有浏览器活动，查找任何与网上银行相关的行为。在我们分析这次攻击的过程中，我们确定了两类活动：第一个活动主要针对巴西目标，第二个活动更多针对国际目标。

该代码表明该活动由各种运营商进行管理。该示例构建指定了一个操作员ID，该ID将用于选择要联系的C2服务器。

用于根据操作符ID生成URL的代码

上面的代码将计算到Google网站页面的路径，该页面包含有关恶意软件将使用的C2服务器的信息。该算法使用特定于用户的密钥以及当前日期，这意味着URL将每天更改。

然后将与生成的路径进行联系，以获取关于要执行的C2服务器的信息。

存储在谷歌网站上的C2信息

操作员使用自定义工具控制受感染的设备。当受害者可用时，该工具会通知操作者，并使操作者能够在设备上执行一些活动，例如：

· 请求银行交易所需的信息，例如SMS令牌或QR码；

· 允许完全远程访问设备；

· 阻止访问银行网站：此功能有助于防止受害者得知资金是从其帐户中转出的。

DGA和Google网站

该活动使用商业托管网站进行攻击，在许多情况下，他们使用名为HFS或HTTP文件服务器的非常特定的Web服务器来托管加密的有效载荷。你可以在显示的页面上注意到一个小的变化，该变化有助于显示“感染”而不是默认页面上使用的“命中”。

HFS用于托管加密有效载荷

这些托管网站是一次性的，在操作员转移到另一台服务器之前，每种服务器都使用了很短的时间。我们已经看到Grandoreiro使用DGA函数来生成到存储C2信息的Google网站页面的连接。

至于受害者，可以通过分析样本确认该活动针对巴西，墨西哥，西班牙和葡萄牙。但是，由于目标机构也在其他国家开展业务，其他国家也很有可能成为受害者。

Grandoreiro将目标对准巴西，葡萄牙和西班牙

总结

Guildma，Javali，Melcoz和Grandoreiro是一组完整的巴西恶意银行攻击群，这些恶意软件已决定将其攻击扩大到国外，目标是其他国家的银行。许多在巴西运营的银行在拉美和欧洲其它地方也有业务，这使它们很容易扩大对这些金融机构客户的攻击，从中获利。

巴西的不法分子正在迅速建立一个庞大的攻击生态系统，招募网络犯罪分子与其他国家合作，采用MaaS(恶意软件即服务)，并迅速在他们的恶意软件中添加新技术，以保持其相关性和对合作伙伴的经济吸引力。他们无疑是拉丁美洲制造此类威胁的主因，主要是因为他们需要当地合作伙伴来管理被盗资金并帮助翻译，因为他们中的大多数人的母语不是西班牙语。这种专业的方法从过去的ZeuS、SpyEye和其他大型银行木马中汲取了很多灵感。

作为一种威胁，这些银行木马家族试图通过使用DGA、加密有效载荷、进程空化、劫持DLL、大量的LoLBins、无文件感染和其他技巧来阻止分析和检测。我们相信，这些威胁将演变成针对更多国家的更多银行。我们知道它们并不是唯一这样做的家族，因为其他恶意家族可能也会受到这样的启发，进行类似的转变。这似乎是巴西恶意软件开发者的一种趋势，并将持攻击的趋势延续下去。

我们建议金融机构密切注意这些威胁，同时改善其身份验证流程，增强反欺诈技术和威胁情报数据，并尝试了解和缓解此类风险。所有详细信息，请见IoC，Yara规则和哈希。

MD5

本文翻译自：https://securelist.com/the-tetrade-brazilian-banking-malware/97779/如若转载，请注明原文地址：